Em entrevista ao portal www.healthcareitnews.com, Howard Young, diretor de arquitetura de soluções de um provedor de nuvem, disse que a principal ameaça que assola hoje os serviços no setor de saúde é uma proteção insuficiente de dados confidenciais. É justamente nesta categoria de informações onde são implementadas as proteções físicas e lógicas, especialmente quando a nova tecnologia, já em nuvem, é introduzida nos sistemas existentes. Essa é a conclusão de Howard, responsável pela arquitetura de soluções da Zadara Storage, fornecedor de armazenamento em nuvem híbrida que disponibiliza armazenamento corporativo como um serviço totalmente gerenciado.
Há negligência quanto aos controles de proteção? “Frequentemente os controles de proteção são ignorados ou esquecidos nas nuvens de grande porte, megalíticas e em hiper escala, simplesmente devido à natureza da plataforma, enquanto os fornecedores menores de nuvem são mais ágeis e podem fornecer um melhor ajuste para o setor de saúde”, afirma Howard. “Como a nuvem é um ambiente de terceiros, são necessárias verificações de segurança de rotina - como PEN testes - para garantir que as configurações do ambiente permaneçam consistentes e íntegras.” Young aponta para três aspectos da computação em nuvem com relação a essa ameaça presente que os CIOs e CISOs da área de saúde precisam estar cientes: infraestrutura física, lógica e a evolução.
“Para a parte física, servidores em nuvem e redes são protegidos fisicamente em um data center, mas que controles existem quando o equipamento físico é adicionado ou removido? O que acontece com seus dados no disco com falha quando ele é removido? ” pergunta Howard. “Na parte lógica, o modelo de implantação de assistência médica na nuvem aumenta a probabilidade de ataques externos e o acesso não autorizado aos dados do paciente. Por exemplo, o armazenamento de objetos tem um componente público, que tem sido uma fonte de violações não intencionais de dados. ” E para a parte da evolução, a tecnologia melhora continuamente, mas a cada nova iteração, a avaliação de proteções pode se tornar complexa no futuro, acrescentou Young.
O que os CIOs e CISOs podem fazer Como os CIOs e CISOs da área de saúde podem se resguardar contra a ameaça de proteção insuficiente de dados confidenciais? Onde são implementadas proteções físicas e lógicas? Howard oferece alguns conselhos: "As estratégias de implantação em nuvem são muito objetivas ao lidar com essa ameaça", explicou ele. “Na camada física, uma nuvem híbrida em que os CISOs têm mais controle e percepção da configuração, proteção e destruição de dados, fornecerá um melhor mapeamento para os requisitos de compliance, tal como a HIPAA (Health Insurance Portability and Accountability Act). A nuvem híbrida se torna uma extensão da nuvem de pública, que executa as operações de borda. As nuvens híbridas são simplesmente conexões de rede seguras entre os provedores públicos e um data center em colocation ou local. ” Na camada lógica, a implantação de cargas de trabalho precisa ser examinada em relação aos requisitos de segurança para a camada em que a carga de trabalho opera, ele aconselha. Uma maneira simples de fazer isso é categorizar a estrutura em três níveis de segurança: vermelho, amarelo e verde, onde o vermelho tem os mais altos requisitos de segurança e o verde geralmente é uma apresentação detalhada dos dados para o usuário final na ponta. "O mapeamento de um aplicativo da Web para essa estrutura pode ter um limite de segurança vermelho para o banco de dados, um limite amarelo para pesquisas em cache ou transitórias do banco de dados e verde para uma página da Web https mostrada ao paciente", acrescentou.
O nível mais alto de segurança "Alguns requisitos podem levar o mapeamento de tudo para uma camada vermelha, de forma a obter os mais altos níveis de segurança", continuou ele. "Um exemplo disso é o acesso remoto de profissionais de saúde usando o acesso de thin client criptografado a um workplace em execução na nuvem". Quando a nova funcionalidade da nuvem é integrada ao sistema existente, a principal preocupação é manter as camadas de isolamento - caso contrário, o processamento de informações ou dados transitórios pode se tornar um ponto de divulgação indesejado. Tome um cuidado especial ao habilitar recursos que possam disponibilizar dados publicamente em outros lugares, aconselha Young.
Comments